客戶服務   Service

網絡安全應急預案

網絡與信息安全保障措施

網絡與信息的安全不僅關系到公司業務的開展,還將影響到國家的安全、社會的穩定。公司將認真開展網絡與信息安全工作,通過檢查進一步明確安全責任,建立健全的管理制度,落實技術防范措施,保證必要的經費和條件,對有毒有害的信息進行過濾、對用戶信息進行保密,確保網絡與信息安全?!?

一、信息安全管理組織機構設置及工作職責

1、信息安全管理小組:組長為信息安全負責人

工作職責:負責協調、督促各職能部門和有關單位的信息安全工作,參與信

息系統工程建設中的安全規劃,監督安全措施的執行;

2、應急處理管理小組:組長為信息安全負責人

工作職責:審定公司網絡與信息系統的安全應急策略及應急預案;決定相應

應急預案的啟動,負責現場指揮,并組織相關人員排除故障,恢復系統。

二、網絡與信息安全管理人員配備情況及相應資質

公司成立安全管理小組,設定相應的信息安全負責人,信息安全負責人必須定期組織各項安全管理教育及技術培訓,鞏固技術安全知識;必須24小時開機,保證聯絡暢通,有網絡安全信息及時通知。信息安全負責人在本公司主管領導的直接領導下。 負有以下職責和義務: 負責做好安全工作,及時進行信息反饋和修改。

網絡與信息安全小組成員:組長:賀夢蛟,組員趙亞軍、劉曉彬計算機網絡專業。

三、信息安全管理責任制

建立和健全信息安全責任制,嚴格對信息發布的審查和監督。加強內部管理制度,做到信息安全責任到人。

1、信息安全責任領導及員工定期參加上級部門舉辦的各項安全管理教育及技術培訓,鞏固技術安全知識。當責任人有變動時,我公司保證在2天內以書面形式上報通信管理局。 流程如下: 進入工信部備案網站申請責任人變更申請;然后整理關于責任人變更相關信息,包括責任人姓名、手機、辦公電話、電子郵箱、通信地址等信息,以正式的書面形式上報給通信管理局,申請相關責任人的變更。

2、由指定檢測員負責網站內的信息內容的日常檢測工作,做好檢測紀錄。單位與檢測員簽定檢測責任書。

3、檢測員做好有關密碼和權限的保密工作,未經允許不得隨意更改密碼或向第三方泄露。

4、為保密需要,定期或不定期地更換不同保密方法或密碼口令。

5、經申報批準,才能查詢、打印有關資料。

6、電腦操作員對保密信息嚴加看管,不得遺失、私自傳播

四、有害信息發現受理處置機制

凡本公司工作人員,均有責任和義務監督、發現、報告、處理互聯網信息系統的有害信息。發現有害信息時的處置程序如下:

及時取證:包括信息全部內容及有關來源網址的信息。

及時報告:應在發現后24小時內向信息安全員報告并保護相關資料,條件許可的應停機等候處理

。

消除有害信息:經信息安全員許可,發現單位和個人,在自己技術許可條件下,有權及時清除所發現的有害信息,以免進一步傳播。

相關技術人員應在接到通知后立即趕到現場,作好必要記錄,清理非法信息,妥善保存有關記錄及日志或審計記錄,強化安全防范措施,并將網站網頁重新投入使用。情況緊急的,應先及時采取刪除等處理措施,再按程序報告。

遵守對網站服務信息監視,保存、清除和備份制度。繼續開展對網絡有害信息的清理整治工作。對違反本辦法的,予以通報批評;情節嚴 重的,追究責任人的責任;對違反有關法律、法規的,有關部門依法追究法律責任。

五、有害信息投訴受理處置機制

按照 “早發現、早報告、早處置”的原則,加強對網絡與信息安全突發公共事件和可能引發網絡與信息安全突發公共事件的有關信息的收集、分析判斷和持續監測。工作人員要密切監測網絡狀況,一旦發現異常應立即通知相關部門并及時向單位領導和應急領導小組匯報。加強內容關鍵字過濾,對非法關鍵字或其他引起信息安全問題的關鍵字進行過濾,尤其是政治敏感詞匯,防止他人利用非法字符的諧音或者變音達到宣傳非法事件的目的,確保流向各公眾通信網絡公司網絡信息源的安全和健康。

(一)投訴受理

1、受理投訴舉報問題和案件,應本著從速從快的原則,需立案調查的,及時按案件審批程序辦理。對不屬我公司責職范圍的,要耐心做好解釋工作,并告知投訴舉報人向有處理權的機關投訴或舉報。

2、 接待投訴舉報要態度和藹,耐心聽取陳訴,屬受理范圍的案件,要及時受理,不得推諉。 3、受理舉報工作人員必須為舉報人保密,不得將舉報人或舉報材料等情況透露或轉送給被舉報單位和被舉報人。

4、受理投訴舉報實行“首問責任制”,即誰接到投訴舉報,誰負責做好接待(登記)和情況記錄,并及時向有關領導匯報。

(二)處置機制

1、對投訴失實的,被投訴單位負責人應向投訴者進行解釋,澄清事實。 投訴者和被投訴者對投訴處理結論不服的,可向作出處理結論部門的上一級信息安全機構申請復查。

2、對因特殊情況未能在規定的時限內辦結有關事項而被投訴的,由被投訴單位派員上門向投訴者進行說明情況,進行解釋或賠禮道歉。

3、對網站所傳輸的信息內容難以辨別的,暫停傳輸,并經相關主管部門審核同意后再發布。我公司承諾自覺接受電信管理機構和有關管理部門的監督檢查,積極配合相關管理部門的管理工作。

六、重大信息安全事件應急處置和報告制度

本公司采用相應的技術手段,對計算機網絡與信息安全進行實時檢測與監控,發現問題應當及時向網絡與信息安全管理部門報告并采取處理措施。采用先進的防火墻、功能強大的入侵檢測系統、防病毒系統對網絡及系統安全方面加以保護。?按照事件的嚴重情況分為四個等級:特別重大事件(I?級)、重大事件(Ⅱ級)、較大事件(III級)和一般事件(Ⅳ級)。?

(1)應急事件報告??

出現公司內所管轄的網絡和信息安全事件時,一般事件在公司內報警并作相關處理;重大事件和影響超出本公司管轄范圍時,向上級管理部門緊急報警。?

一般安全事件,向入侵者所在的網絡管理員投訴;遇到重大信息安全事件時?(如造成重大經濟損失、涉及破壞國家信息安全的反動政治言論),及時消除、保留證據,立即向網絡和信息安全事件應急小組報告。網絡和信息安全事件應急小組接到報告后,立即對發生的事件進行調查核實、保存相關證據,確定事件等級,上報相關材料或提出啟動預案申請。整個事件過程及處理事故階段必須落實專人負責,認真調查分析事件發生的原因、責任,并作出客觀的評析,如實向有關部門作出匯報。

?

(2)應急處置?

網絡環境安全事件,包括火災、盜竊、破壞、供電等;網絡運行相關事件,包括線路中斷、路由故障、流量異常、域名系統故障等。發生信息安全事件時緊急通知我公司信息主管負責人,及時消除非法信息,恢復系統。無法迅速消除或恢復系統、影響較大時實施緊急關閉,并及時上報。發生網絡與信息安全突發事件的單位應當在事件發生后,首先以口頭方式立即向信息化應急領導小組報告,信息化應急領導小組接到報告后,應當立即向網絡與信息安全應急預案小組辦公室報告。

(3)保障措施?

高度重視網絡與信息安全事件應急預案工作。充分認識到網絡與信息安全事件應急預案工作的重要性,落實工作責任,加強安全應急的宣傳教育和技術培訓,確保此項工作落到實處。

?

建立健全指揮調度機制和信息安全通報制度,進一步完善信息安全應急協調機制。

?

建立應急處理技術平臺,進一步提高安全事件的發現和分析能力,從技術上逐步實現發現、預警、處置、通報等多個環節和不同的網絡、系統、部門之間應急處理的聯動機制。?

各部門要經常性地開展信息安全方面的自檢自查,審核領導小組將積極做好指導、協調、服務并不定期地進行抽查。審核領導小組將對不重視信息系統安全,疏于管理嚴重失職而造成重大信息安全事故的有關單位及責任人特別是單位領導進行嚴肅追究。?

凡發生重大信息安全事件,責任部門應及時派人到現場了解情況,準確掌握動態,并在2小時內向信息安全小組報送相關信息,并續報處置善后情況。若在規定時間內無法報送文字材料,應通過電話口頭匯報事件經過,再報送文字資料。?

遇到重大信息安全事件,整個事件過程及處理事故階段必須落實專人負責,認真調查分析事件發生的原因、責任,并作出客觀的評析,如實向有關部門作出匯報。?

上報重大信息安全事件必須認真核實信息發生的時間、地點、人員、原因、處置方案、后果等相關要素,必須由分管領導簽字把關,特別重要的還須由主要領導審簽。

七、信息安全管理政策和業務培訓制度

1、信息安全管理政策

(1)建立以單位領導為首的信息安全管理機構,成員包括信息管理員、技術員,信息安全責任領導及員工定期參加上級部門舉辦的各項安全管理教育及技術培訓,鞏固技術安全知識。

(2)公司定期對相關人員進行網絡信息安全培訓并進行考核,使員工能夠充分認識到網絡安全的重要性,嚴格遵守響應規章制度。做到堅持不懈,不放松警惕,將安全管理工作長期進行下去,并且不斷的加以完善。

(3)遵守安全教育和培訓制度。加大宣傳教育力度,增強用戶網絡安全意識,自覺遵守互聯網有關法律、法規,遵守《自律公約》,不泄密、不制作和傳播有害信息,不鏈接有害信息或網頁。

(4)遵守對網站服務信息監視,保存、清除和備份制度。

(5)嚴格遵守網站用戶帳號使用登記和操作權限管理制度。

(6)繼續開展對網絡有害信息的清理整治工作。

(7)對違法犯罪案件,報告并協助公安機關查處。

(8)遇到安全問題時,及時匯報上級領導,采取措施及時解決。

2、業務培訓制度

2.1、培訓目標:貫徹國家關于計算機網絡和信息安全的有關規定,加強計算機網絡的安全管理,樹立網絡用戶的安全和保密意識,提升技術人員在計算機網絡方面的專業知識與實戰技能;提升員工的網絡與信息安全知識水平。

2.2、培訓內容:

(1)對信息源接入單位進行安全教育和培訓,使他們自覺遵守和維護《計算機信息網絡國際互聯網安全保護管理辦法》,杜絕發布違犯《計算機信息網絡國際互聯網安全保護管理辦法》的信息內容。

(2)定期組織管理員認真學習《計算機信息網絡國際互聯網安全保護管理辦法》、《網絡安全管理制度》及《信息審核管理制度》,提高工作人員的維護網絡安全的警惕性和自覺性。

(3)負責對本網絡用戶進行安全教育和培訓,使用戶自覺遵守和維護《計算機信息網絡國際互聯網安全保護管理辦法》,使員工具備基本的網絡安全知識。

(4)不定期地邀請公安機關有關人員進行信息安全方面的培訓,加強對有害信息,特別是影射性有害信息的識別能力,提高防犯能力。

2.3、培訓方式

(1)實行季度考核制度,對考核不合格的的員工采取相應從處理措施。

(2)企業內部定期組織各種信息安全知識培訓,加強員工安全意識。

(3)必要時不定期邀請公安機關有關人員來公司對員工進行培訓。

八、網絡安全管理責任制度

1、提高認識,建立健全信息系統安全保障體系要充分認識到加強信息系統安全工作的必要性和重要意義,正確處理發展與安全的關系,一手抓信息化建設,一手抓網絡信息安全,按照統一標準建立起完善的信息系統安全保障體系。?2、加強領導,落實信息安全責任制。

2、各部門要進一步增強信息安全意識,嚴格落實信息安全責任制,由“一把手”總經理及部門主管領導全面負責本單位的信息安全工作,建立信息網絡安全管理機構,設立專職管理人員,切實扭轉和解決信息安全責任落實不到位的狀況。各中心要積極做好信息安全工作的組織領導和指導監督工作。從信息安全責任制、安全風險評估、日常安全管理制度、定期教育培訓、系統和數據備份制度、系統定期檢測和升級、應急處理預案及其演練、安全事件報告、安全自查和安全測評等方面加強信息安全工作,確保重要信息系統的安全穩定運行。?3、加強維護、建立信息安全應急預案

?

3、各部門要高度重視信息安全工作,建立并細化信息安全應急預案,對潛在的突發事件和重大操作失誤,事先要有預防措施、應急處置程序和恢復控制辦法,保證關鍵業務和重大經營活動的連續性;明確各責任區域責任人及其工作職責;定期進行應急預案演練,檢驗其操作性和效果。公司將組織在一定范圍內逐步開展信息系統安全測評工作。

九、網絡安全防護制度

1、設有信息安全保障工作組,對信息安全提供預警、救援、恢復、監控和測評,負責網絡與信息安全保障體系建設的規劃、協調和監督,并對相關重大事項做出決定。

?

2、由專門人員負責計算機網絡與信息安全的管理工作。參與制定公司及本部門信息安全規章制度,檢查內部安全管理工作情況,進行內

部安全教育,向公司及相關單位匯報本部門網絡信息安全管理工作情況等。專門人員必須認真執行信息發布審核管理工作,杜絕違犯《計算機信息網絡國際聯網安全保護管理辦法》的情形出現。?

3、本公司加強對本單位計算機信息系統日常維護與使用的管理,建立健全的各項安全和保密制度。?

4、本公司采用相應的技術手段,對計算機網絡與信息安全進行實時檢測與監控,發現問題應當及時向網絡與信息安全管理部門報告并采取處理措施。?

5、本公司使用的計算機必須安裝具有實時監控功能的防病毒軟件并及時升級。

6、本公司計算機信息系統不使用盜版軟件。?

7、本公司上網信息必須履行相關的審批手續,責任到人;在未取得相應的加密措施之前,不得利用電子郵件傳遞涉及秘密的信息。

十、網絡安全事件應急處置和報告制度

1、應急處置 網絡環境安全事件,包括火災、盜竊、破壞、供電等;網絡運行相關事件,包括線路中斷、路由故障、流量異常、域名系統故障等。發生信息安全事件時緊急通知我公司信息主管負責人,及時消除非法信息,恢復系統。無法迅速消除或恢復系統、影響較大時實施緊急關閉,并及時上報。

?

2、應急事件報告制度 出現公司內所管轄的網絡和信息安全事件時,一般事件在公司內報警并作相關處理;重大事件和影響超出本公司管轄范圍時,向上級管理部門緊急報警。般安全事件,向入侵者所在的網絡管理員投訴;遇到重大信息安全事件時 (如造成重大經濟損失、涉及破壞國家信息安全的反動政治言論),及時消除、保留證據,立即向網絡和信息安全事件應急小組報告。網絡和信息安全事件應急小組接到報告后,立即對發生的事件進行調查核實、保存相關證據,確定事件等級,上報相關材料或提出啟動預案申請。整個事件過程及處理事故階段必須落實專人負責,認真調查分析事件發生的原因、責任,并作出客觀的評析,如實向有關部門作出匯報。

?

十一、有害信息發現和過濾技術手段

系統對處理過后的內容進行自動過濾,它能夠有效識別和過濾各種非法文本信息。根據既定的語義范式和過濾詞表進行自動對比,在其中發現有害信息。采用公安局指定使用的信息過濾系統,該系統由公安局方面配置敏感詞匯,系統認定為非法信息而會被過濾,同時將非法信息備份在公安部門的過濾系統中,保證定時刷新和監控;同時采用黑名單過濾的方式,建立并維護黑名單表,對于黑名單中用戶上下行信息都進行過濾,并記入日志。工作人員對自動過濾后的結果進行人工校驗,人工校驗后方可進行數據發布處理。

十二、用戶日志留存所采用的技術手段

建立多重備份制度,對重要資料除在電腦貯存外,還拷貝到光盤及相關移動存儲設備上,并由專人負責進行保管,以防遭病毒破壞而遺失。?公司內部留有備份服務器,以防IDC服務器出現無法修理的故障。為保證系統的數據安全,在客戶的防偽數據這一層,使兩臺數據庫服務器熱備運行,共享磁盤陣列系統。如果任何一臺服務器故障時,可以互相代替;如果磁盤陣列中任何一塊磁盤的物理損壞,都可隨時更換,其內容可由其他磁盤用算法恢復(RAID 5)。

十三、網絡安全防護技術手段

1、為保證內網的安全,安裝了防火墻、網絡隔離卡等網絡安全設備,將內網與外網實行物理隔離。

⑴ 在防火墻使用上,采取內網與外網相結合的方式,一臺用于管理外部網絡的連接,一臺用于管理內部網絡的連接,對內外網實行嚴格 的管理。

⑵ 鑒于內部局域網的有關微機(終端接收機)需要連接互聯網,容易發生泄密將有關微機分成了兩臺虛擬計算機,“雙線、雙硬盤、雙系統”,一個系統連接內部局域網(內網),用于內部綜合辦公,一個系統連接外部網絡(外網),用于瀏覽網上的信息,使內部局域網與互聯網之間物理隔離,達到了安全保密的要求。

2、信息安全過濾系統。系統對處理過后的內容進行自動過濾,它能夠有效識別和過濾各種非法文本信息。根據既定的語義范式和過濾詞表進行自動對比,在其中發現有害信息。采用公安局指定使用的信息過濾系統,該系統由公安局方面配置敏感詞匯,系統認定為非法信息而會被過濾,同時將非法信息備份在公安部門的過濾系統中,保證定時刷新和監控;同時采用黑名單過濾的方式,建立并維護黑名單表,對于黑名單中用戶上下行信息都進行過濾,并記入日志。工作人員對自動過濾后的結果進行人工校驗,人工校驗后方可進行數據發布處理。

十四、安全聯絡員變動承諾

保障網絡安全,我公司設置信息安全管理組織機構,成立安全管理小組,設定相應的信息安全聯絡員,同時信息安全聯絡員或者聯系方式發生變動, 我公司鄭重承諾執行信息安全規章制度,并形成規范化管理。當安全聯絡員聯系方式變動時,承諾在兩個工作日內主動向申請機關作出書面報告。

小婷好滑好紧好湿好爽,男的能不能感受到是不是处,我把表妺的下面日出水,乖把宫口磨得开了就舒服了